Article réservé aux abonnés Archimag.com

Droit public : les clauses du RGPD pour les marchés publics

  • marche_pub.jpg

    ordinateur-taper
    "Les clauses concernant les données à caractère personnel devront être adaptées marché par marché" Danièle Véret, avocate, secrétaire générale de l’Adij. (Pixabay/StartupStockPhotos)
  • La question des données à caractère personnel se pose dans le cadre des marchés publics. Voici comment en tenir compte.

    1. Contexte

    Nombre de domaines conduisent une personne publique à confier des prestations à des sociétés en vue de satisfaire ses besoins. Cela donne lieu à la conclusion de marchés publics (Ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics – décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics).

    Dans ce cadre, des données à caractère personnel sont forcément utilisées : données des interlocuteurs chargés du suivi du marché, données des administrés ou du personnel, etc. qui sont traitées, transmises, stockées. Suite à l’entrée en vigueur du RGPD (Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données), des clauses spécifiques sont à insérer dans les documents du marché.

    Il convient d’avoir présent à l’esprit que la notion de clause type n’existe pas vraiment. Les clauses sont fluctuantes en fonction de l’objet du marché, de la nature des données, de la finalité, de leur traitement et des moyens informatiques utilisés. Les clauses devront donc être adaptées marché par marché.

    Il est présenté ci-dessous la liste des rubriques qu’il convient de traiter dans chacune des clauses.

    demander à chacun des candidats

    Puisque les clauses sont établies a priori par la personne publique, lorsqu’elle lance une consultation, une telle clause concernant les données personnelles devra figurer dans le « Cahier des charges administratives particulières » (CCAP). Cette clause ne tiendra alors pas compte des spécificités de la réponse des soumissionnaires. Ainsi, il est suggéré de demander à chacun des candidats, dans le « Règlement de la consultation » (RC), de proposer des compléments à cette clause en vue de l’adapter à la prestation qui est commandée. Cette adaptation pourra donner lieu à une modification de la clause initiale qui figurera dans le document de mise au point du marché, ou bien les aménagements proposés dans son mémoire par le candidat retenu seront adéquats et le fait de rendre ce mémoire document contractuel rendra ces adaptations applicables.

    Les clauses pourront varier en fonction de la nature des prestations confiées par l’autorité publique, le responsable du traitement, au titulaire du marché, le sous-traitant au sens du RGPD (RGPD article 4 Définitions). Il pourra s’agir d’une sous-traitance fonctionnelle (établissement des feuilles de paye par exemple) ou d’une sous-traitance technique (hébergement informatique des traitements par exemple).

    Rappels

    Il est rappelé que :

    • les données à caractère personnel sont toutes les données qui permettent d’identifier une personne physique directement ou indirectement (par son nom, sa localisation géographique, son adresse IP, etc.) ;
    • les dispositions du règlement s’appliquent aux entreprises et administrations européennes ainsi qu’aux entreprises et administrations hors UE dès lors que ces dernières traitent les données personnelles de citoyens européens ;
    • le RGPD s’applique également aux traitements déjà existants avant le 25 mai 2018 qui devront être mis à jour afin d’être conformes aux obligations découlant du nouveau règlement européen, ainsi qu’aux lois et règlementations nationales en découlant ;
    • l’objectif principal est de protéger les citoyens européens dont les données sont collectées, traitées, stockées ou cédées au regard de leurs droits et libertés garantis par la charte des droits fondamentaux de l’UE (Charte des droits fondamentaux de l’UE), comme rappelé dans les premiers considérants du RGPD ;
    • les responsables de traitement, les responsables de traitement conjoints ainsi que les sous-traitants (les prestataires du responsable du traitement) sont considérés comme responsables des conséquences d’un traitement de données personnelles, concernant des personnes physiques, non conforme aux dispositions du règlement.

    Les clauses doivent être élaborées sur la base suivante :

    • les principes directeurs rappelés ci-dessus ;
    • les exigences de protection développées dans le règlement européen ;
    • les recommandations de la Cnil (Protection des données personnelles – Se mettre en conformité d’ici le 25 mai 2018 - Éditions Législatives).

    La loi française du 6 janvier 1978 (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) a été complétée depuis l’entrée en vigueur du RGPD et des points précis seront abordés par des décrets d’application à venir.

    2. Le contenu des clauses

    Qualité de chacune des parties au sens du RGPD

    Afin de personnaliser les clauses au contexte dans lequel elles s’inscrivent, il est impératif de préciser quelle est la qualité de chacune des parties, c’est-à-dire qui est le responsable du traitement, qui est sous-traitant, qui sont, le cas échéant, les responsables conjoints du traitement.

    La clause pourra être adaptée en fonction de la nature des fournitures et prestations informatiques qui seront effectuées : licence et maintenance de progiciel, intégration, hébergement, infogérance.

    Connaissance et respect des règles RGPD

    De façon pédagogique, il est rappelé que chacune des parties doit avoir connaissance des règles applicables aux droits et libertés des personnes physiques et s’engage à respecter les règles.

    Ainsi, il est précisé que chacune des parties a connaissance de l’existence de règles obligatoires à respecter concernant la protection des données à caractère personnel de toute personne physique qui peut être identifiée, de manière directe ou indirecte. Ces règles relèvent d’un règlement européen ainsi que de la législation et la réglementation nationale. De plus, des recommandations à valeur contraignante sont émises par l’autorité de contrôle. Ces règles sont destinées à ce que soient mis en place des mesures pour éviter les atteintes aux libertés et droits fondamentaux des individus.

    Données

    Quelles que soient les données traitées et la finalité du traitement, le prestataire informatique doit mettre en œuvre des mesures organisationnelles et techniques permettant d’assurer la protection des données personnelle. Le niveau de sécurisation peut toutefois varier en fonction de la nature des données, en particulier si le prestataire informatique est amené à faire transiter et à stocker des données sensibles.

    Il convient donc d’indiquer dans la clause la nature des données traitées et de préciser en particulier si le traitement porte ou non sur des données sensibles.

    La durée de conservation des données par le prestataire informatique, en tant que sous-traitant, doit être déterminée et inscrite dans le marché. Si le titulaire du marché sous-traite à son tour une partie des prestations, avec l’accord préalable de la personne publique, c’est le titulaire du marché qui est responsable des manquements du sous-traitant envers la personne publique. Cela découle de l’application de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance (Article 1 : Au sens de la présente loi, la sous-traitance est l’opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître de l’ouvrag).

    Ainsi, il est suggéré de réduire le temps de détention des données par le prestataire informatique, ce qui limite les risques de divulgation et de détournement de ces données. La personne publique devra être alors particulièrement vigilante au cours de la procédure de réception des prestations, la destruction des données par le prestataire faisant disparaître la preuve de la bonne ou mauvaise exécution de ses prestations. En effet, les données sont sauvegardées par la personne publique et le prestataire informatique n’intervient pas toujours sur les données elles-mêmes. Il peut lui être demandé de détruire les données personnelles à la fin du marché. En cas d’hébergement chez un prestataire informatique, la destruction portera sur les données enregistrées sur le serveur servant à l’hébergement et sur tout serveur permettant d’assurer une redondance.

    Il doit ensuite être précisé que la sécurisation et la confidentialité des données sont assurées par le prestataire informatique. Il est prudent de demander à ce que le détail des moyens mis en œuvre par ce dernier figure dans son mémoire.

    Coopération

    Compte tenu de l’imbrication des responsabilités du responsable du traitement et du sous-traitant, il est particulièrement important de préciser l’obligation de coopération entre les parties.

    Leur coopération peut porter sur :

    • la détermination des données utiles au titulaire pour l’exécution de ses prestations ;
    • la tenue et la mise à jour de leurs registres respectifs ;
    • l’élaboration de réponses à fournir à l’autorité de contrôle qui ferait un contrôle ou demanderait des informations sur les mesures techniques et organisationnelles mises en place pour éviter les atteintes aux droits et libertés individuelles ;
    • faire cesser tout trouble en cas de détection d’une violation de données à caractère personnel ;
    • la gestion d’une procédure judiciaire ;
    • effectuer des analyses d’impact, le cas échéant.

    Les parties s’engagent à se communiquer toutes informations dont elles auraient connaissance et qui auraient un impact sur l’exécution des prestations objet du contrat.

    Les parties s’engagent à coopérer de façon loyale et constructive en vue de la résolution de toute difficulté liée aux données personnelles.

    La personne publique peut prévoir la mise en place d’un comité RGPD chargé de débattre de ces questions. La composition, l’organisation et le fonctionnement de ce comité sont définis dans le « Cahier des clauses techniques particulières » (CCTP), par exemple.

    Sous-traitance

    Le prestataire informatique peut être amené à sous-traiter des prestations à des tiers. Une telle sous-traitance ne peut avoir lieu qu’avec l’accord préalable et écrit de la personne publique. Le prestataire informatique doit prendre l’engagement de contractualiser avec ses sous-traitants une clause RGPD (Article 3 de la loi n° 1334 du 31 décembre 1975 : « L’entrepreneur qui entend exécuter un contrat ou un marché en recourant à un ou plusieurs sous-traitants doit, au moment de la conclusion et pendant toute la durée du contrat ou du marché, faire accepter chaque sous-traitant et agréer les conditions de paiement de chaque contrat de sous-traitance par le maître de l’ouvrage ; l’entrepreneur principal est tenu de communiquer le ou les contrats de sous-traitance au maître de l’ouvrage lorsque celui-ci en fait la demande. »).

    Audit

    La personne publique peut se laisser la possibilité d’effectuer ou de faire effectuer des audits de conformité à la réglementation chez le prestataire informatique, moyennant un préavis. Dans le cadre de leur obligation de coopération, il est important que les conclusions de l’audit soient partagées entre les parties. Il est prudent de prévoir que le prestataire informatique informera par écrit la personne publique de la mise en place effective de mesures correctives, le cas échéant. Il peut être utile de prévoir que l’audit pourra être étendu aux sous-traitants du titulaire, ce dernier devant les en informer dès la conclusion du contrat de sous-traitance.

    Alerte en cas de violation

    La procédure d’alerte et d’action en cas de suspicion ou de constat d’une intrusion dans les données personnelles ainsi que les modalités de coopération entre les parties doivent être prévues. Cette procédure peut être définie dans le « Cahier des clauses techniques particulières » (CCTP), par exemple.

    Exercice des droits des personnes physiques

    La clause doit faire mention des droits des personnes concernées par le traitement, à savoir leurs droits d’accès, de rectification, d’effacement, de portabilité, de limitation du traitement et d’opposition.

    La personne publique étant responsable du traitement et ayant la maîtrise des données personnelles traitées, il est recommandé d’exiger du titulaire qu’il lui renvoie toute demande d’exercice de leurs droits qui serait adressée au titulaire, par les personnes concernées, et ce, à bref délai. Il est préférable de prévoir que la personne publique est seule habilitée à leur répondre et à procéder aux modifications nécessaires. C’est la personne publique qui répercutera sur ses prestataires les décisions qu’elle prendra : accès aux données, rectification, effacement, portabilité, limitation du traitement, opposition.

    Sanction

    En cas de violation du respect du RGPD par l’une des parties, les parties devront coopérer pour parvenir à une remise en conformité, en accord avec le responsable du traitement.

    Si la violation perdure, l’application de pénalités n’est pas une bonne solution parce que cela reviendrait à tolérer une non-conformité, ce qui est contraire au règlement. Ainsi, il est suggéré de prévoir comme sanction la résiliation du marché et le paiement de dommages et intérêts.

    Délégué à la protection des données

    Un délégué à la protection des données, communément appelé DPO qui est l’abréviation du vocable anglais « data protection officer », doit être nommé dans les autorités publiques et par les entreprises privées qui ont plus de 250 salariés ou celles qui font du traitement de données personnelles à grande échelle. Selon sa taille, le prestataire informatique, titulaire du marché, n’aura pas forcément désigné un délégué à la protection des données.

    Les coordonnées de cette personne doivent être communiquées à la Cnil ainsi qu’aux parties contractantes.

    3. Encouragements et évolutions

    La Cnil, en tant qu’autorité de contrôle française au sens du RGPD, a notamment pour mission « d’encourager » l’élaboration de codes de conduite, de mécanismes de certification et de labels, d’adopter des clauses types de protection des données (RGPD articles 46 et 57).

    Les clauses RGPD seront amenées à évoluer et la question de sa rédaction adaptée se posera à chaque lancement d’une procédure de mise en concurrence.

    Danièle Véret

    [Avocate au Barreau de Paris | Secrétaire générale de l’Adij

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    magazine-Archimag
    Dans la course à l’innovation, difficile d’affronter la concurrence avec de vieux outils. Mais d’abord, peut-on encore parler de gestion électronique de document (Ged), de gestion de contenu ? De quels types d’outils les entreprises ont-elles besoin ? Un observateur nous éclaire.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    dont 290 numéros en accès libre, soit 20 000 pages d'articles... Archimag met à jour sa collection en ligne ! Le magazine de référence des professionnels du management de l'information complète la numérisation de ses anciens numéros jusqu'en décembre 2020 et permet désormais aux internautes de consulter gratuitement ceux couvrant la période de sa création, en juin 1985, jusqu'en décembre 2015.
    Publicité

    Data 2020.PNG